雷神強調其在網絡安全中的作用

公司官員周三在與記者的網絡研討會上討論了廣泛的問題，包括人才短缺、量子計算和實施零信任。

圖片：jetcityimage/Adobe Stock

雷神公司官員在周三的網絡研討會上罕見地介紹了他們對量子計算、發展網絡勞動力以及零信任的采用和推進的看法。

雷神情報與空間公司人力資源高級總監梅麗莎羅德斯表示，盡管雷神公司是一家備受矚目的國防承包商，但在大辭職期間，雷神公司在招聘網絡安全專業人員方面面臨著與其他公司相同的挑戰。

“我們所做的工作主要是在機密領域，這使得談論我們所做的工作非常困難，”羅德斯說。這需要想出一些創造性的方法來讓人們意識到他們正在尋找網絡安全人才。

不排除任何人口

一種策略是贊助全國大學生網絡防御競賽，這有助于公司雇傭很多人。Rhodes 說，今年早些時候，該部門還投資開發和執行了一個試點項目，即 RI&S Offensive Labs，以將來自相鄰背景的工程師重組到進攻性和防御性網絡任務領域。

該計劃課程側重于漏洞研究、二進制逆向工程和計算機網絡操作。

“今年迄今為止，已有 23 名工程師完成了該計劃，目標是到 2022 年達到 50 名，”她說。“當他們完成這個計劃時，他們就被視為任務準備就緒。”

RI&S 網絡保護解決方案高級主管 Jon Check 補充說，從事網絡安全工作不需要大學學位。查克說，由于人手短缺，不能排除任何人口。該公司將多樣性和包容性作為優先事項，并開始提供獎學金以吸引更多人對網絡領域感興趣。

他說，看電影“對網絡安全的整個污名”暗示你必須是數學高手或“計算機天才”才能做到這一點，并強調許多加入雷神公司的人可能有刑事司法背景或金融——或曾從事反恐任務。

“他們通過了我們的內部培訓，并已成為我們網絡安全人員的一部分，”Check 說。“因此，我們希望真正確保每個人都明白他們可以轉型并真正發展自己的職業生涯，而不會被網絡安全嚇倒。”

專注于零信任

演講者還花時間討論了如何實施零信任，遵循拜登政府的行政命令，要求政府實體實施零信任架構。

然而，這“不是一項微不足道的任務，”雷神公司首席工程研究員 Torsten Staab 博士說。

“零信任實施需要仔細規劃，因為它涉及部署許多需要協同工作才能有效的技術，”Staab 說。“對于許多組織，尤其是大型組織而言，ZT 之旅將需要數年時間，并且需要不斷完善。”

他說，公司必須管理用戶訪問、身份和傳感器，以及設置對家庭網絡的適當訪問。零信任不僅包括網絡身份部分，還包括駐留在移動設備和云中的數據本身。

“有很多訪問機會，”斯塔布說。“零信任不能只關注網絡。這里的信息是每個人都必須保持防御。”

但是，除非您擁有不僅部署零信任基礎設施而且配置工具、維護、升級和停用工具的熟練人才，否則這將限制組織這樣做的能力，Check 指出。

與此同時，組織可以通過實施“容易實現的成果”（例如“相對容易部署”的多因素身份驗證）來顯著改善其安全狀況，Staab 說。

量子計算具有重大的安全隱患

演講者還討論了為量子計算和 Q-Day 做準備，在這一天，量子計算機將強大到足以破解當今的非對稱加密方案，例如 RSA、Diffi-Helman、橢圓曲線密碼學和 DSA。

“這些算法被用于世界各地的所有部門和行業，而不僅僅是美國，”Staab 觀察到。“因此，每個人的通信和數據安全都將面臨風險。”

例如，網上購物或網上銀行交易將不再安全。

他指出，“對國家安全也有非常重要的安全影響，因為一旦 Q-Day 到來，對手就可以解密敏感和機密信息”。

量子計算機已經在藥物發現、物流和運輸路線優化以及模擬大規模網絡安全攻擊模擬等領域顯示出巨大的潛力。

“雖然許多傳統的網絡防御技能和角色仍然與后量子世界相關并可轉移，但擊敗量子攻擊的工具將有所不同，從加密算法開始，延伸到量子機器學習等領域，”斯塔布說。

利用量子計算機需要能夠開發量子算法——現有軟件和經典編譯器或解釋器不能用于在量子計算機上運行應用程序。Staab 說，某些國家已經在推行“現在收集，以后解密”的策略。

本月早些時候，NIST 宣布了第一組四種能夠抵御量子計算機網絡攻擊的后量子算法。

“隨著這些新算法被 NIST 標準化，世界各地的組織應該盡快開始替換現有的、量子易受攻擊的加密算法，”Staab 說。“這將有助于對抗我們的對手已經采用的‘現在收集，以后解密’策略。”

Check 補充說，現在是開始為 Q-Day 做準備的時候了。

他說，重要的是要有“那些應急計劃，比如當你遇到網絡漏洞時……同樣的準備工作需要開始”，以確保公司具有彈性并能夠應對量子攻擊。